阿摩線上測驗
23. 防火牆(Firewall)設備內通常擁有一整套網路安全規則,可以用來監控、篩選和控制進出特定範例的網路封包內容與流量。配置防火牆設備的主要目的,是在受信任的內部網路和不受信任的外部網路之間建立屏障。請問下一個世代防火牆 NGFW(Next-Generation Firewall)較「不」具備下列何項功能?
(A) 遠端 VPN 連線
(B) 資料外洩防護(Data Loss Prevention, DLP)
(C) 程式源始碼掃瞄
(D) 沙箱(Sandbox)運作與程式分析
統計: A(6), B(10), C(22), D(11), E(0) #3671659
詳解 (共 2 筆)
正確答案是 ✅ (C) 程式源始碼掃瞄。
? 題意解析:
題目問的是:「哪一項功能不屬於下一代防火牆(NGFW, Next-Generation Firewall)常見功能?」
重點在「不屬於防火牆範疇」。
?NGFW(下一代防火牆)主要功能包含:
| 類別 | 功能內容 | 範例 |
|---|---|---|
| 基本防火牆功能 | 封包過濾、狀態檢查(stateful inspection) | 允許/封鎖網路連線 |
| 應用層控制 | 可識別應用程式(App-ID)、使用者識別(User-ID) | 區分 Facebook vs Gmail |
| 威脅防護功能 | 入侵防禦(IPS)、惡意程式攔截、URL 過濾 | 阻擋惡意流量、釣魚網址 |
| 進階分析功能 | 沙箱(Sandbox)、DLP、SSL 檢查、檔案分析 | 檢測未知威脅、分析檔案行為 |
| 連線安全 | VPN、IPSec、SSL、遠端連線保護 | 提供安全隧道連線 |
⚖️選項分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 遠端 VPN 連線 | ✅ 常見功能,許多 NGFW 內建 IPSec 或 SSL VPN 模組。 | |
| (B) 資料外洩防護 (DLP) | ✅ 新世代防火牆可整合 DLP 模組,防止敏感資料外洩。 | |
| (C) 程式源始碼掃瞄 | ❌ 不屬於防火牆功能,這是 靜態應用程式安全測試 (SAST) 工具(如 SonarQube、Checkmarx)的功能。 | |
| (D) 沙箱 (Sandbox) 運作與程式分析 | ✅ 屬於 NGFW 進階威脅偵測技術,用於動態分析惡意檔案行為。 |
?延伸補充:
? 防火牆 (Firewall):重點在「流量控制」與「封包檢查」。
? 程式源始碼掃瞄:屬於 應用程式安全開發 (DevSecOps) 範疇,用於在軟體開發階段偵測漏洞,與防火牆完全不同層級。
✅ 正確答案: (C)
程式源始碼掃瞄 不屬於 NGFW 的功能。
這題的正確答案是 (C) 程式源始碼掃瞄。
以下是詳細解析:
為什麼選擇 (C)?
-
NGFW 的核心職責:下一代防火牆 (NGFW) 的運作重點在於 「流量檢測 (Traffic Inspection)」。它負責即時分析進出網路的封包、應用程式協定 (L7) 以及傳輸的檔案內容。
-
程式源始碼掃瞄 (Source Code Scanning):
-
這通常屬於 靜態應用程式安全測試 (SAST) 的範疇,是在軟體開發階段(DevSecOps)中,由專門的工具(如 Fortify, SonarQube)針對尚未編譯的程式碼進行檢測,以找出邏輯漏洞。
-
防火牆部署在網路邊界,它處理的是「執行中的流量」,無法接觸到企業內部的原始程式碼儲存庫(Repository),也沒有能力去分析程式碼邏輯結構。
-
其他選項為何都是 NGFW 的功能?
NGFW 與傳統防火牆最大的差別,就在於整合了多種深層防禦機制:
-
(A) 遠端 VPN 連線:
-
這是防火牆的基本功能之一(雖然現在逐漸轉向 SASE/SD-WAN,但在設備端仍然必備),提供 Site-to-Site 或 Client-to-Site 的加密通道。
-
-
(B) 資料外洩防護 (Data Loss Prevention, DLP):
-
NGFW 具備內容過濾功能,可以識別傳輸流量中是否包含敏感資訊(如身分證字號、信用卡號、機密文件標籤),並在資料離開內網時進行阻擋。
-
-
(D) 沙箱 (Sandbox) 運作與程式分析:
-
這是對抗未知威脅(Zero-day)的關鍵功能。當 NGFW 發現未知的可疑檔案時,會將其隔離並丟入虛擬的沙箱環境中「引爆」,觀察其行為(是否有惡意連線、修改登錄檔等),藉此判斷是否為惡意程式。
-
總結
(A)、(B)、(D) 都是針對「網路流量與傳輸內容」的即時防護,而 (C) 是針對「軟體開發階段」的靜態檢測。